Amazon Cognito 用户池的电子邮件设置 - Amazon Cognito

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon Cognito 用户池的电子邮件设置

您的应用程序中的某些事件可能会导致 Amazon Cognito 向您的用户发送电子邮件。例如,如果您将用户池配置为需要电子邮件验证,则当用户在应用程序中注册新账户或重置其密码时,Amazon Cognito 会发送电子邮件。根据发起电子邮件递送的操作,电子邮件将包含验证码或临时密码。

为处理电子邮件递送,您可以使用以下任一选项:

创建用户群体后,您可以更改传递选项。

Amazon Cognito 向您的用户发送电子邮件,其中包含他们可以输入的代码或他们可以选择的URL链接。下表显示了可以生成电子邮件的事件。

消息选项

活动 API操作 传递选项 格式选项 可自定义 消息模板
忘记密码 ForgotPassword, AdminResetUserPassword 电子邮件,SMS 代码 不适用
邀请 AdminCreateUser 电子邮件,SMS 代码 邀请消息
自行注册 SignUp, ResendConfirmationCode 电子邮件,SMS 代码,链接 验证消息
电子邮件地址或电话号码验证 UpdateUserAttributes, AdminUpdateUserAttributes, GetUserAttributeVerificationCode 电子邮件,SMS 代码 验证消息
多因素身份验证 () MFA AdminInitiateAuth, InitiateAuth 电子邮件¹,SMS,身份验证器应用程序 代码 是² MFA消息

¹ 需要高级安全功能和 Amazon SES 电子邮件配置

² 发送SMS和发送电子邮件。

Amazon 会对电子邮件SES收费。有关更多信息,请参阅 Amazon SES 定价

要了解有关电子邮件的更多信息MFA,请参阅 SMS和电子邮件 MFA

默认电子邮件配置

Amazon Cognito 可以使用其默认电子邮件配置来为您处理电子邮件的传送。当您使用默认选项时,Amazon Cognito 会限制您的用户池每天可以发送的电子邮件数量。有关服务限制的更多信息,请参阅 Amazon Cognito 中的限额。对于典型的生产环境,默认的电子邮件限制低于所需的递送量。要实现更高的配送量,您可以使用您的 Amazon SES 电子邮件配置。

使用默认配置时,您使用由管理的 Amazon SES 资源 AWS 发送电子邮件。Amazon SES 将返回硬退邮件的电子邮件地址添加到账户级禁止列表或全球封禁列表中。如果无法送达的电子邮件地址稍后变为可送达,则当您的用户池配置为使用默认配置时,您无法控制将其从禁止列表中删除。电子邮件地址可以无限期地保留在 AWS管理的禁止列表中。要管理无法送达的电子邮件地址,请使用带有账户级别禁止列表的 Amazon SES 电子邮件配置,如下一节所述。

使用默认电子邮件配置时,可以使用以下任一电子邮件地址作为FROM地址:

  • 默认电子邮件地址 no-reply@verificationemail.com

  • 自定义电子邮件地址。在使用自己的电子邮件地址之前,您必须向亚马逊进行验证,SES并授予 Amazon Cognito 使用该地址的权限。

Amazon SES 电子邮件配置

您的应用程序需要的递送量可能高于默认选项所提供的递送量。要增加可能的传送量,请使用您的 Amazon SES 资源和用户池向用户发送电子邮件。当您使用自己的 Amazon SES 配置发送电子邮件时,您还可以监控您的电子邮件发送活动

在使用您的 Amazon SES 配置之前,您必须先向 Amazon 验证一个或多个电子邮件地址或域名SES。使用经过验证的电子邮件地址或来自经过验证的域名的地址作为分配给用户池的FROM电子邮件地址。当 Amazon Cognito 向用户发送电子邮件时,它会代您SES致电亚马逊并使用您的电子邮件地址。

当您使用 Amazon SES 配置时,以下条件适用:

Amazon SES 电子邮件配置区域

AWS 区域 在 Amazon 上配置电子邮件时,创建用户池的位置有三个要求之一SES。您可以从 Amazon SES 发送电子邮件到与您的用户池相同的区域、多个区域(包括同一区域),或者一个或多个远程区域。为了获得最佳性能,在您可以选择的情况下,使用与您的用户池位于同一区域的 Amazon SES 验证身份发送电子邮件。

Amazon SES 验证身份的地区要求类别
仅限区域内

您的用户池可以像用户池 AWS 区域 一样发送身份经过验证的电子邮件。在没有自定义FROM电子邮件地址的默认电子邮件配置中,Amazon Cognito 在同一地区使用no-reply@verificationemail.com经过验证的身份。

向后兼容

您的用户池可以在相同 AWS 区域 或以下备用区域之一发送身份经过验证的电子邮件:

  • 美国东部(弗吉尼亚州北部)

  • 美国西部(俄勒冈州)

  • 欧洲地区(爱尔兰)

此功能支持用户池资源的连续性,这些资源可能是在服务启动时创建的,以满足 Amazon Cognito 的要求。该时期的用户池只能在有限的数量内发送身份经过验证的电子邮件 AWS 区域。在没有自定义FROM电子邮件地址的默认电子邮件配置中,Amazon Cognito 在同一地区使用no-reply@verificationemail.com经过验证的身份。

备用区域

您的用户池可以在用户池区域之外的备用 AWS 区域 地址发送身份经过验证的电子邮件。当亚马逊在提供 Amazon Cognito 的地区SES不可用时,就会发生这种配置。

亚马逊针对您在备用地区经过验证的身份的SES发送授权政策必须信任来源地区的 Amazon Cognito 服务负责人。有关更多信息,请参阅 授予使用默认电子邮件配置的权限

在其中一些区域,Amazon Cognito 在两个备用区域之间拆分电子邮件,默认电子邮件配置为。COGNITO_DEFAULT在这些情况下,要使用自定义FROM电子邮件地址,亚马逊针对您在每个备用区域的已验证身份的SES发送授权政策必须信任原始地区的 Amazon Cognito 服务主体。有关更多信息,请参阅 授予使用默认电子邮件配置的权限DEVELOPER在这些区域中,Amazon SES 电子邮件配置为,您必须在列出的第一个区域使用经过验证的身份,并将其配置为信任用户池区域中的 Amazon Cognito 服务主体。例如,在中东 (UAE) 的用户池中,将欧洲(法兰克福)的经过验证的身份配置为信任cognito-idp.me-central-1.amazonaws.com。在没有自定义FROM电子邮件地址的默认电子邮件配置中,Amazon Cognito 在每个区域使用no-reply@verificationemail.com经过验证的身份。

注意

在以下条件组合下,必须在 Region 元素中EmailConfiguration使用通配符指定SourceArn参数,格式为arn:${Partition}:ses:*:${Account}:identity/${IdentityName}。这允许您的用户池发送两者中具有相同已验证身份 AWS 账户 的电子邮件 AWS 区域。

  • 你的 EmailSendingAccount 是COGNITO_DEFAULT

  • 你想使用自定义FROM地址。

  • 您的用户群在备用区域发送电子邮件。

  • 您的用户池在下方的亚马逊SES支持区域表中指定了第二个1备用区域

如果您以编程方式创建用户池(使用、 AWS SDK Amazon Cognito API 或CLI AWS CDK、或 AWS CloudFormation),则您的用户池会使用参数为您的用户池指定的亚马逊SES身份发送电子邮件。SourceArn EmailConfigurationAmazon SES 身份必须占据支持 AWS 区域的。如果您的 EmailSendingAccountCOGNITO_DEFAULT 而且您没有指定 SourceArn 参数,则 Amazon Cognito 使用您创建用户池所在区域中的资源,从 no-reply@verificationemail.com 发送电子邮件。

下表显示了您可以在 Amazon Cognito 中使用亚马逊SES身份 AWS 区域 的地方。

用户池区域 “区域” 选项 亚马逊SES支持的地区

美国东部(弗吉尼亚州北部)

向后兼容

美国东部(弗吉尼亚北部)、美国西部(俄勒冈)、欧洲(爱尔兰)

美国东部(俄亥俄州)

向后兼容

美国东部(俄亥俄)、美国东部(弗吉尼亚北部)、欧洲(爱尔兰)

美国西部(加利福尼亚北部)

仅限区域内

美国西部(加利福尼亚北部)

美国西部(俄勒冈)

向后兼容

美国东部(弗吉尼亚北部)、美国西部(俄勒冈)、欧洲(爱尔兰)

加拿大(中部)

向后兼容

加拿大(中部)、美国东部(弗吉尼亚北部)、美国西部(俄勒冈)、欧洲(爱尔兰)

加拿大西部(卡尔加里)

备用区域

加拿大(中部)、美国西部(加利福尼亚北部)1

Asia Pacific (Tokyo)

向后兼容

亚太地区(东京)、美国东部(弗吉尼亚北部)、美国西部(俄勒冈)、欧洲(爱尔兰)

亚太地区(香港)

备用区域

亚太地区(新加坡)、亚太地区(东京)1

亚太地区(首尔)

向后兼容

亚太地区(首尔)、美国东部(弗吉尼亚北部)、美国西部(俄勒冈)、欧洲(爱尔兰)

亚太地区(孟买)

向后兼容

亚太地区(孟买)、美国东部(弗吉尼亚北部)、美国西部(俄勒冈)、欧洲(爱尔兰)

亚太地区(海得拉巴)

备用区域

亚太地区(孟买)、亚太地区(新加坡)1

亚太地区(新加坡)

向后兼容

亚太地区(新加坡)、美国东部(弗吉尼亚北部)、美国西部(俄勒冈)、欧洲(爱尔兰)

亚太地区(悉尼)

向后兼容

亚太地区(悉尼)、美国东部(弗吉尼亚北部)、美国西部(俄勒冈)、欧洲(爱尔兰)

亚太地区(大阪)

仅限区域内

亚太地区(大阪)

亚太地区(雅加达)

仅限区域内

亚太地区(雅加达)

亚太地区(墨尔本)

备用区域

亚太地区(悉尼)、亚太地区(新加坡)1

欧洲地区(爱尔兰)

向后兼容

美国东部(弗吉尼亚北部)、美国西部(俄勒冈)、欧洲(爱尔兰)

欧洲地区(伦敦)

向后兼容

欧洲(伦敦)、美国东部(弗吉尼亚北部)、美国西部(俄勒冈)、欧洲(爱尔兰)

欧洲地区(巴黎)

仅限区域内

欧洲地区(巴黎)

欧洲地区(法兰克福)

向后兼容

欧洲(法兰克福)、美国东部(弗吉尼亚北部)、美国西部(俄勒冈)、欧洲(爱尔兰)

欧洲(苏黎世)

备用区域

欧洲(法兰克福)、欧洲(伦敦)1

欧洲地区(斯德哥尔摩)

仅限区域内

欧洲地区(斯德哥尔摩)

欧洲地区(米兰)

仅限区域内

欧洲地区(米兰)
欧洲(西班牙)

备用区域

欧洲(巴黎)、欧洲(斯德哥尔摩)1

中东(巴林)

仅限区域内

中东(巴林)

中东 (UAE)

备用区域

欧洲(法兰克福)、欧洲(伦敦)1

南美洲(圣保罗)

仅限区域内

南美洲(圣保罗)

以色列(特拉维夫)

仅限区域内

以色列(特拉维夫)

非洲(开普敦)

仅限区域内

非洲(开普敦)

1 用于具有默认电子邮件配置的用户池。Amazon Cognito 在每个区域使用相同电子邮件地址的经过验证的身份之间分发电子邮件。要使用自定义FROM地址,请EmailConfiguration使用格式为的SourceArn参数进行配置arn:${Partition}:ses:*:${Account}:identity/${IdentityName}

为您的用户池配置电子邮件

完成以下步骤为用户池配置电子邮件设置。根据您使用的设置,您可能需要亚马逊SES、 AWS Identity and Access Management (IAM) 和 Amazon Cognito 中的IAM权限。

注意

您在这些步骤中创建的资源无法跨 AWS 账户进行共享。例如,您不能在一个账户中配置用户池,然后将其与另一个账户中的 Amazon SES 电子邮件地址一起使用。如果您在多个账户中使用 Amazon Cognito,请为每个账户中重复这些步骤。

第 1 步:在 Amazon 上验证您的电子邮件地址或域名 SES

在配置用户池之前,SES如果您想执行以下任一操作,则必须向 Amazon 验证一个或多个域名或电子邮件地址:

  • 使用您自己的电子邮件地址作为FROM地址

  • 使用您的 Amazon SES 配置来处理电子邮件传送

通过验证您的电子邮件地址或域,您确认您拥有该电子邮件地址,这有助于防止未经授权的使用。

有关通过亚马逊验证电子邮件地址的信息SES,请参阅《亚马逊简单电子邮件服务开发者指南》中的验证电子邮件地址。有关使用 Amazon 验证域的信息SES,请参阅验证域名

第 2 步:将您的账户移出 Amazon SES 沙箱

如果您使用的是默认 Amazon Cognito 电子邮件配置,请忽略此步骤。

当你第一次SES在任何地方使用亚马逊时 AWS 区域,它会将你置 AWS 账户 于该地区的亚马逊SES沙箱中。Amazon SES 使用沙盒来防止欺诈和滥用。如果您使用亚马逊SES配置来处理电子邮件传送,则必须在 Amazon Cognito 向用户发送电子邮件之前,将其移 AWS 账户 出沙箱。

在沙箱中,Amazon SES 对您可以发送的电子邮件数量和发送地址施加限制。您只能向已通过亚马逊验证的地址和域名发送电子邮件SES,也可以将电子邮件发送到亚马逊SES邮箱模拟器地址。在您 AWS 账户 仍处于沙箱状态时,请不要将您的 Amazon SES 配置用于生产中的应用程序。在这种情况下,Amazon Cognito 无法将邮件发送到您用户的电子邮件地址。

要将您 AWS 账户 从沙箱中移除,请参阅《亚马逊简单电子邮件服务开发者指南》中的移出亚马逊SES沙箱

步骤 3:授予 Amazon Cognito 电子邮件权限

您可能需要向 Amazon Cognito 授予特定权限,然后它才能向您的用户发送电子邮件。您授予的权限以及授予权限的过程取决于您使用的是默认电子邮件配置还是您的 Amazon SES 配置。

只有将用户池配置为使用 Cognito 发送电子邮件或设置为EmailSendingAccount,才能完成此步骤。COGNITO_DEFAULT

使用默认的电子邮件配置,您的用户池可以使用以下任一地址发送电子邮件。

  • 默认地址no-reply@verificationemail.com

  • 来自您在 Amazon 中经过验证的电子邮件地址或域名的自定义FROM地址SES。

如果您使用自定义地址,Amazon Cognito 需要额外权限,以便使用此地址向您的用户发送电子邮件。这些权限由亚马逊地址或域名的发送授权策略授予SES。如果您使用 Amazon Cognito 控制台向您的用户池添加自定义地址,则该政策将自动附加到SES经过亚马逊验证的电子邮件地址。但是,如果您在控制台之外配置用户池,例如使用或 Amazon CognitoAPI,则必须使用亚马逊SES控制台 AWS CLI或 Amazon Cognito 附加策略。PutIdentityPolicyAPI

注意

您只能使用 AWS CLI 或 Amazon Cognito API 在经过验证的域中配置FROM地址。

发送授权策略根据使用 Amazon Cognito 调用亚马逊的账户资源来允许或拒绝访问。SES有关基于资源的策略的更多信息,请参阅《IAM用户指南》。您还可以在亚马逊SES开发者指南中找到基于资源的策略示例。

例 发送授权策略

以下示例发送授权策略授予 Amazon Cognito 使用SES经过亚马逊验证的身份的有限能力。Amazon Cognito 在代表 aws:SourceArn 中的用户池和 aws:SourceAccount 条件中的账户时才能发送电子邮件。

Regions with Amazon SES

您在用户池区域或备用区域中的发送授权策略必须允许 Amazon Cognito 服务主体发送电子邮件。有关更多信息,请参阅 “区域” 表。如果您的用户池区域亚马逊SES地区中的至少一个值匹配,请在以下示例中使用全球服务主体配置您的发送授权策略。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "stmnt1234567891234", "Effect": "Allow", "Principal": { "Service": [ "email.cognito-idp.amazonaws.com" ] }, "Action": [ "SES:SendEmail", "SES:SendRawEmail" ], "Resource": "<your SES identity ARN>", "Condition": { "StringEquals": { "aws:SourceAccount": "<your account number>" }, "ArnLike": { "aws:SourceArn": "<your user pool ARN>" } } } ] }
Opt-in Regions without Amazon SES

在可用 Amazon Cognito AWS 区域 的地方,亚马逊SES并非在所有可选模式中都可用。中东 (UAE) 就是一个例子,它只能在欧洲(法兰克福)发送身份经过验证的电子邮件(eu-central-1)。在使用默认电子邮件配置的用户池中,Amazon Cognito 还会在两个区域分别发送身份经过验证的电子邮件。就中东 (UAE) 而言,额外的区域是欧洲(伦敦)。您必须更新两个地区的发送授权政策。

您在每个备用区域的发送授权政策必须允许用户池选择加入区域中的 Amazon Cognito 服务主体发送电子邮件。有关更多信息,请参阅 “区域” 表。如果您的地区被标记为备用区域,请使用区域服务主体配置您的发送授权策略,如下例所示。替换示例区域标识符 me-central-1 根据需要使用所需的区域 ID。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": [ "cognito-idp.me-central-1.amazonaws.com" ] }, "Action": [ "SES:SendEmail", "SES:SendRawEmail" ], "Resource": "<your SES identity ARN>", "Condition": { "StringEquals": { "aws:SourceAccount": "<your account number>" }, "ArnLike": { "aws:SourceArn": "<your user pool ARN>" } } } ] }

有关策略语法的更多信息,请参阅《亚马逊简单电子邮件服务开发者指南》中的亚马逊SES发送授权策略

有关更多示例,请参阅《亚马逊简单电子邮件服务开发者指南》中的亚马逊SES发送授权策略示例

如果您将用户池配置为使用您的亚马逊SES配置,则 Amazon Cognito 需要额外的权限才能在向用户发送电子邮件时SES代表您致电亚马逊。该授权是通过IAM服务授予的。

当您使用此选项配置用户池时,Amazon Cognito 会在您的中创建一个服务相关角色,这是一种IAM角色。 AWS 账户此角色包含允许 Amazon Cognito 访问亚马逊SES并使用您的地址发送电子邮件的权限。

Amazon Cognito 使用设置配置的用户会话的 AWS 凭证创建您的服务相关角色。此会话的IAM权限必须包括iam:CreateServiceLinkedRole操作。有关中权限的更多信息IAM,请参阅《IAM用户指南》中的AWS 资源访问管理

有关 Amazon Cognito 创建的服务相关角色的更多信息,请参阅对 Amazon Cognito 使用服务相关角色

步骤 4:配置用户池

如果您要将您的用户池配置为使用以下内容,请完成以下步骤:

  • 显示为电子邮件发件人的自定义FROM地址

  • 一个自定义REPLY的收件人地址,用于接收用户发送到您的FROM地址的消息

  • 您的亚马逊SES配置

注意

如果您经过验证的身份是电子邮件地址,Amazon Cognito 会默认将该电子邮件地址设置为FROM和收件REPLY人电子邮件地址。但是,如果您经过验证的身份是一个域名,则必须为FROM和 REPLY-TO电子邮件地址提供一个值。例如,如果您经过验证的域名是 example.com,则可以将 no-reply@example.com 同时设置为FROM和 REPLY-收件人的电子邮件地址。

如果您想使用默认的 Amazon Cognito 电子邮件配置和地址,请忽略此步骤。

配置用户池以使用自定义电子邮件地址
  1. 转到 Amazon Cognito 控制台。如果出现提示,请输入您的 AWS 凭据。

  2. 选择 User Pools(用户池)。

  3. 从列表中选择现有用户池。

  4. 选择 Messaging(消息收发)选项卡,查找 Email configuration(电子邮件配置),选择 Edit(编辑)。

  5. “编辑电子邮件配置” 页面上,选择 “从亚马逊发送电子邮件” SES 或 “使用 Amazon Cognito 发送电子邮件”。只有选择从 Amazon 发送电子邮件时,您才能自定义SES区域配置集FROM发件人姓名SES。

  6. 要使用自定义FROM地址,请完成以下步骤:

    1. 在 “SES区域” 下,选择包含您经过验证的电子邮件地址的区域。

    2. 在 “FROM电子邮件地址” 下,选择您的电子邮件地址。使用您已通过 Amazon 验证的电子邮件地址SES。

    3. (可选)在配置集下,选择供亚马逊SES使用的配置集。进行此更改并保存可创建服务相关角色。

    4. (可选)在 “FROM发件人地址” 下,输入电子邮件地址。您可以仅提供电子邮件地址,也可以同时提供电子邮件地址和格式为 Jane Doe <janedoe@example.com> 的易记名称。

    5. (可选)在 “REPLY-TO 电子邮件地址” 下,输入您想要接收用户发送到您的FROM地址的邮件的电子邮件地址。

  7. 选择 Save changes(保存更改)

相关主题